各大站長不可忽略的日常安全隱患

網(wǎng)絡安全跟隨著網(wǎng)絡的高速發(fā)展其重要性越來越高， 人們的日常生活已經(jīng)與網(wǎng)絡安全息息相關。 近年來， 網(wǎng)絡安全被披露越來越多的安全隱患。 為了加強網(wǎng)絡安全防護， 首先要清楚目前的網(wǎng)絡安全隱患有哪些， 本文將為大家一一列出。

　　1、暴露站點統(tǒng)計信息

　　哪些人正在訪問我的站點？這個問題大家都想知道， 網(wǎng)絡上也并不缺少這樣的程序 。 有商業(yè)版的日志分析軟件， 也有日益流行、甚至一些商業(yè)網(wǎng)站也在采用的開源分析軟件， 因為它們能提供很花哨的功能， 選擇面也多， 令人不解的是為何有些站點的管理員不去管好它！比如， 流行的統(tǒng)計程序AWStats 和 Webalizer存在許多安全漏洞， 使用這些程序相當于自暴其丑。 此外， 訪客在你的站點的活動記錄應屬于機密信息， 有何理由公之于眾？

　　2、被遺忘的備份文件

　　在開發(fā)個人網(wǎng)站時， 許多人沒有使用完整的開發(fā)環(huán)境或版本控制軟件， 這可以理解。 但如果用在商業(yè)網(wǎng)站的開發(fā)中， 問題就來了：有些人為了圖方便， 將舊的網(wǎng)頁改個名字， 再上傳一個新的版本， 如果有問題， 再重新改回原來的舊版本。 一般在這些文件的名字加上.bak 或 .old, 如果忘記刪除這些舊文件， 那些頗有心計的攻擊者的機會就來了。 服務器當然不知道”.bak” 或”.old”是什么類型的文件， 會乖乖地把你的源代碼拱手送出！

　　3、你的站點入選了“惡人榜”

　　存在跨站點腳本漏洞的網(wǎng)站實在數(shù)不勝數(shù)， 黑客們對此已經(jīng)麻木了。 已經(jīng)出現(xiàn)了“惡人榜”(Wall of Shame)之類的站點， 專供過路者隨手張貼發(fā)現(xiàn)的漏洞站點， 這種游街示眾的做法好像有點不太厚道， 但似乎只有這樣才能引起他們對安全問題的重視。 大名鼎鼎的Dell, HP, MySpace, Photobucket, F5, and Acunetix都曾經(jīng)入選過 sla.ckers.org 的“惡人榜”。

　　4、目錄遍歷

　　如果連自己的服務器都管不好， 網(wǎng)站的安全性就無從談起。 盡管有些目錄是有意允許遍歷的， 但通常都是服務器管理不當?shù)陌Y狀。

　　5、過期的SSL證書

　　如果一個網(wǎng)站連更新SSL證書的錢都舍不得出， 你還信得過他們嗎？如果你不打算更新證書， 當客戶準備交易時看到瀏覽器給出的錯誤消息顯示連接有問題， 肯定會攥緊自己的錢包。

　　6 第三方軟件的漏洞

　　別誤會， 我很贊成代碼重用， 既然有很好的開源代碼， 為什么還要重新發(fā)明輪子？但是， 千萬不要過分信賴別人的代碼。 如果你要在項目中使用這些代碼， 就要用同樣的安全標準審查這些代碼， 而且還要對它的缺陷進行跟蹤。 至少要定期訂閱免費的缺陷發(fā)布網(wǎng)站的缺陷列表， 檢查這些共享代碼有沒有問題。

　　6、詳細的錯誤消息

　　詳細的錯誤消息對開發(fā)者很有用， 但對用戶來說等于“紅色警報”。 即使你不是安全專家， 也能看出網(wǎng)頁中包含的錯誤消息意味著網(wǎng)站有潛在的漏洞。 各種網(wǎng)站中像瘟疫一樣流行的SQL注入就是 最常見的安全漏洞， 而那些錯誤信息就像是地雷的導火索。 不要自作聰明， 關閉錯誤顯示并不能消除漏洞， 只不過增加了發(fā)現(xiàn)的難度而已。

　　7、源代碼中的注釋

　　注釋可以用來標記需要進一步檢視的代碼， 特別是團隊中的多名程序員共同完成的代碼。 在代碼進入發(fā)布階段前， 要確保提到的問題已經(jīng)解決， 并且刪除與此相關的注釋。 使用 Google代碼搜索 可找到隱藏在許多庫文件中有趣的注釋。 別讓這些注釋成為指向漏洞的地圖。

　　8、BIND漏洞

　　位于十大之首的是BIND漏洞， 有些系統(tǒng)默認安裝運行了BIND， 這種系統(tǒng)即使不提供DNS服務， 很容易受到攻擊。

　　9、有漏洞的通用網(wǎng)關接口程序

　　位于十大脆弱性中第二位的是有漏洞的CGI程序和Web服務器上的擴展程序。 入侵者很容易利用CGI程序中的漏洞來修改網(wǎng)頁， 竊取信用卡信息， 甚至為下一次入侵建立后門。

　　10、病毒的侵襲

　　病毒的”毒性”不同， 輕者只會玩笑性地在受害機器上顯示幾個警告信息， 重則有可能破壞或危及個人計算機乃至整個企業(yè)網(wǎng)絡的安全。

　　11、黑客的非法闖入

　　黑客通過尋找未設防的路徑進入網(wǎng)絡或個人計算機， 一旦進入， 他們便能夠竊取數(shù)據(jù)、毀壞文件和應用、阻礙合法用戶使用網(wǎng)絡， 所有這些都會對企業(yè)造成危害。 黑客非法闖入將具備企業(yè)殺手的潛力， 企業(yè)不得不加以謹慎預防。

　　12、數(shù)據(jù)”竊聽”和攔截

　　直接或間接截獲網(wǎng)絡上的特定數(shù)據(jù)包并進行分析來獲取所需信息。 加密技術是保護傳輸數(shù)據(jù)免受外部竊聽的最好辦法， 其中SSL證書以及VPN是目前使用最多的加密技術載體。

　　13、拒絕服務

　　這類攻擊一般能使單個計算機或整個網(wǎng)絡癱瘓， 黑客使用這種攻擊方式的意圖很明顯， 就是要阻礙合法網(wǎng)絡用戶使用該服務或破壞正常的商務活動。

　　14、內部網(wǎng)絡安全

　　為特定文件或應用設定密碼保護能夠將訪問限制在授權用戶范圍內。

　　15、電子商務攻擊

　　從技術層次分析， 試圖非法入侵的黑客， 或者通過猜測程序對截獲的用戶賬號和口令進行破譯， 以便進入系統(tǒng)后做更進一步的操作；或者利用服務器對外提供的某些服務進程的漏洞， 獲取有用信息從而進入系統(tǒng)；或者利用網(wǎng)絡和系統(tǒng)本身存在的或設置錯誤引起的薄弱環(huán)節(jié)和安全漏洞實施電子引誘， 以獲取進一步的有用信息；或者通過系統(tǒng)應用程序的漏洞獲得用戶口令， 侵入系統(tǒng)。

　　還有如下網(wǎng)絡安全隱患：

　　惡意掃描：這種方式是利用掃描工具(軟件)對特定機器進行掃描， 發(fā)現(xiàn)漏洞進而發(fā)起相應攻擊。

　　密碼破解：這種方式是先設法獲取對方機器上的密碼文件， 然后再設法運用密碼破解工具獲得密碼。 除了密碼破解攻擊， 攻擊者也有可能通過猜測或網(wǎng)絡竊聽等方式獲取密碼。

　　數(shù)據(jù)篡改：這種方式是截獲并修改網(wǎng)絡上特定的數(shù)據(jù)包來破壞目標數(shù)據(jù)的完整性。

　　地址欺騙：這種方式是攻擊者將自身IP偽裝成目標機器信任機器的IP 地址， 以此來獲得對方的信任。

　　垃圾郵件 主要表現(xiàn)為黑客利用自己在網(wǎng)絡上所控制的計算機向企業(yè)的郵件服務器發(fā)送大量的垃圾郵件， 或者利用企業(yè)的郵件服務器把垃圾郵件發(fā)送到網(wǎng)絡上其他的服務器上。

　　基礎設施破壞：這種方式是破壞DNS或路由器等基礎設施， 使得目標機器無法正常使用網(wǎng)絡。

　　由上述諸多入侵方式可見， 企業(yè)可以做的是如何盡可能降低危害程度。 除了采用防火墻、數(shù)據(jù)加密以及借助公鑰密碼體制等手段以外， 對安全系數(shù)要求高的企業(yè)還可以充分利用網(wǎng)絡上專門機構公布的常見入侵行為特征數(shù)據(jù)-通過分析這些數(shù)據(jù)， 企業(yè)可以形成適合自身的安全性策略， 努力使風險降低到企業(yè)可以接受且可以管理的程度。

　　GDCA（數(shù)安時代）擁有國內自主簽發(fā)信鑒易 TrustAUTH SSL證書以及是國際多家知名品牌：GlobalSign、Symantec、GeoTrust SSL證書指定的國內代理商。 為了讓國內更多的網(wǎng)站升級到安全的https加密傳輸協(xié)議， 五一期間， GDCA推出多種國際知名SSL證書優(yōu)惠活動， 實現(xiàn)HTTPS加密并展示網(wǎng)站真實身份信息。